[发明专利]病毒检测方法及装置

说明书

本发明涉及了一种病毒检测方法及装置，所述病毒检测方法包括：获取待检测文件的行为日志，所述行为日志表征所述待检测文件在运行环境中运行时被触发执行的行为；从所述待检测文件的行为日志中获取行为向量；根据所述待检测文件的行为向量提取得到所述待检测文件的局部特征向量；根据所述待检测文件的局部特征向量构建用于描述所述待检测文件整体行为的全局特征向量；根据所述待检测文件的全局特征向量进行病毒预测，得到所述待检测文件的病毒标签。采用本发明所提供的病毒检测方法及装置解决了现有技术中因特征码依赖于人工提取而造成病毒检测准确率不高的问题。

技术领域

本发明涉及计算机技术领域，尤其涉及一种病毒检测方法及装置。

背景技术

随着计算机技术的发展，具有传染性、破坏性且携带恶意行为的病毒也日益增加，并在用户不知情时便对终端，例如智能手机造成危害。传统的病毒检测方法是：在病毒库中对待检测文件进行特征码匹配搜索，如果待检测文件命中病毒库中的特征码，则认为待检测文件为病毒。

上述病毒检测过程中，主要基于特征码的静态检测，所谓的静态检测指的是由分析人员通过查看样本中二进制片段的方式或者反编译样本的方式进行源代码分析，以提取出病毒对应的特征码。

由上可知，特征码的提取依赖于人工实现，仍存在效率低下的缺陷，进而导致病毒检测准确率不高。

发明内容

为了解决上述技术问题，本发明的一个目的在于提供一种病毒检测方法及装置。

其中，本发明所采用的技术方案为：

一种病毒检测方法，包括：获取待检测文件的行为日志，所述行为日志表征所述待检测文件在运行环境中运行时被触发执行的行为；从所述待检测文件的行为日志中获取行为向量；根据所述待检测文件的行为向量提取得到所述待检测文件的局部特征向量；根据所述待检测文件的局部特征向量构建用于描述所述待检测文件整体行为的全局特征向量；根据所述待检测文件的全局特征向量进行病毒预测，得到所述待检测文件的病毒标签。

一种病毒检测装置，包括：行为日志获取模块，用于获取待检测文件的行为日志，所述行为日志表征所述待检测文件在运行环境中运行时被触发执行的行为；行为向量获取模块，用于从所述待检测文件的行为日志中获取行为向量；局部向量获取模块，用于根据所述待检测文件的行为向量提取得到所述待检测文件的局部特征向量；全局向量获取模块，用于根据所述待检测文件的局部特征向量构建用于描述所述待检测文件整体行为的全局特征向量；病毒预测模块，用于根据所述待检测文件的全局特征向量进行病毒预测，得到所述待检测文件的病毒标签。

一种病毒检测装置，包括处理器及存储器，所述存储器上存储有计算机可读指令，所述计算机可读指令被所述处理器执行时实现如上所述的病毒检测方法。

一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现如上所述的病毒检测方法。

在上述技术方案中，从所获取到待检测文件的行为日志中获取行为向量，以根据待检测文件的行为向量提取得到待检测文件的局部特征向量，并根据待检测文件的局部特征向量构建用于描述待检测文件整体行为的全局特征向量，进而根据待检测文件的全局特征向量进行病毒预测，得到待检测文件的病毒标签，其中，待检测文件的行为日志表征待检测文件在运行环境中运行时被触发执行的行为。

也就是说，病毒检测所采用的行为向量基于待检测文件在运行环境中运行时被触发执行的行为，避免在病毒检测过程中依赖于人工提取特征码，从而解决效率低下的问题，保证较高的病毒检测准确率。

此外，通过病毒检测模型，既能学习到用于描述相邻行为的局部特征，又能学习到用于描述整体行为的全局特征，有效地保障了病毒检测的泛化能力，进一步有利于提高病毒检测准确率。

应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本发明。

附图说明